Das NOA Security Gateway fungiert als Datendiode, die aus den drei Modulen Datenaggregator, One-Way-Datentransfer und Datenbereitstellung besteht. Die Funktion des Geräts sowie die Erfüllung der Schutzanforderungen werden in einem Prüflabor der Bilfinger Engineering & Maintenance GmbH in Frankfurt-Höchst präsentiert. Als Anschauungsobjekt dient die IGR-Demonstrations- und Experimentieranlage (IDEA 4.0), in der bereits verschiedene Konzepte der Prozessdigitalisierung erprobt wurden. Grundsätzlich bietet das Produktportfolio von Phoenix Contact die Möglichkeit, das NOA Security Gateway auf unterschiedliche Arten zu realisieren. In der
IDEA 4.0 sieht der Ansatz eine Kombination aus der Industriesteuerung AXC F 3152 aus der PLCnext-Produktfamilie, dem Hart-Gateway, das sich aus einem Ethernet-Hart-Multiplexer GW PL ETH/UNI-BUS und verschiedenen Protokollumsetzern zusammensetzt, sowie der entsprechenden Software vor.
Integritätsprüfung beim Booten
Als Bestandteil der gemäß Security-by-Design entwickelten Steuerungsfamilie PLCnext Control stellt der AXC F 3152 eine Industrie-SPS zur Ansteuerung von bis zu
63 I/O-Modulen der Baureihe Axioline F dar. Diese können auf der rechten Steuerungsseite nebeneinander montiert werden. Darüber hinaus lässt sich der AXC F 3152 um bis zu zwei linksanreihbare Erweiterungsmodule ausbauen. Das der Steuerung zugrunde liegende Linux-Betriebssystem ist auf maximale Performance ausgelegt, während die Unterstützung unterschiedlicher Hochsprachen eine einfache Handhabung ermöglicht. Der Anwender kann zahlreiche Protokolle nutzen, beispielsweise TLS 1.2, TLS 1.3, HTTPS, OPC UA, SFTP, SSH oder VPN. Zudem lässt sich das Gerät als Profinet-Controller und Profinet-Device einsetzen. Drei unabhängige Ethernet-Schnittstellen erlauben eine Netzwerksegmentierung. Aufgrund des weiten Temperaturbereichs von -25 bis +60 °C eignet sich der AXC F 3152 für raue Industrieumgebungen.
Um die PLCnext-Steuerung als Teil des
NOA Security Gateways zu verwenden, muss das Sicherheitsprotokoll aktiviert werden. Neben der Unterstützung vieler Security-Funktionen wird damit auch eine Integritätsüberprüfung beim Booten durchgeführt. Sie stellt sicher, dass keine Manipulationen an der Firmware, dem Programmcode und der Konfiguration vorgenommen wurden. Ferner gibt es spezielle Benutzerrollen – SecurityAdmin und SecurityAuditor – für die Gerätekonfiguration und das Security-Monitoring. Dieses Sicherheitsprofil bildet schließlich die Grundlage für die erfolgreiche Zertifizierung des
AXC F 3152 gemäß der IEC 62443-4-2.
Die PLCnext-Steuerungsfamilie ist nach der IEC 62443-4-1 ML3 und -4-2 SL2 entwickelt und vom TÜV Süd zertifiziert worden.
Abbildung der Module gemäß NE 177
Das Hart-Gateway umfasst einen Ethernet-Hart-Multiplexer sowie entsprechende Erweiterungsmodule, die verschiedene Anschlussoptionen an die Feldgeräte zur Verfügung stellen. Beim Ethernet-Hart-Multiplexer handelt es sich um eine Ethernet-Kopfstation für modulare Hart-Gateways, die eine einfache Möglichkeit zur Parametrierung und Überwachung von Hart-Geräten in einem Ethernet-Netzwerk bietet. Bis zu fünf Erweiterungsmodule
GW PL Hart…-BUS lassen sich anschließen, um mit maximal 40 Hart-Geräten zu kommunizieren. Über einen unabhängigen Hart-Controller pro Kanal, der für schnelle Aktualisierungsraten sorgt, setzt der Benutzer zeit- und kostensparende Operationen bequem vom Büro aus um. Unterschiedliche Variablenarten können über OPC UA, Modbus TCP oder Profinet überwacht werden. Außerdem ist das Gerät in Umgebungen mit einem erweiterten Temperaturbereich von -40 bis +70 °C nutzbar. Durch das Zusammenspiel der Industriesteuerung
AXC F 3152 und des Hart-Gateways werden die drei Module des NOA Security Gateways gemäß der NE 177 abgebildet.
Modul 1: Datenaggregator
In der vorliegenden IDEA-4.0-Konfiguration lässt sich das Hart-Gateway von Phoenix Contact passiv einsetzen, indem es die
Informationen von bereits vorhandenen Hart-Verbindungen ausliest. Die Hart-Daten werden zusätzlich auf der 4…20mA-Schnittstelle transportiert und über Hart-IP ausgelesen. Eine Rückwirkung auf den Prozess ist ausgeschlossen, solange die Hart-Schnittstelle nicht aktiv wird. Die eigenständige Parametrierung des Hart-Gateways erfolgt über sein Webinterface mit einer Zugangsdatenabfrage. Durch diese Zugangskontrolle ist sichergestellt, dass die Schnittstelle nicht ohne Berechtigung aktiviert wird.
Modul 2: One-Way-Datenübertragung
Ein Ethernet-Kabel verbindet das Hart-Gateway mit der Steuerung AXC F 3152, die die Absicherung der geforderten One-Way-Funktion verantwortet. Der sichere Entwicklungsprozess der Industrie-SPS berücksichtigt Risiken und sorgt für Sicherheitsmaßnahmen, damit der AXC F 3152 oder das implementierte Betriebssystem nicht manipuliert werden kann. Eine Zugriffskontrolle in Kombination mit einer gehärteten Software verhindert Manipulationen und Änderungen der Einstellungen, zum Beispiel eine Umstellung vom Lese- auf den Schreibzugriff. In dieser Anwendung wird der Wechsel von Lese- auf Schreibzugriffe zusätzlich durch die Verwendung eines OPC-UA-Servers unterbunden. Der Server unterstützt technisch keine Schreibzugriffe, weil diese Funktion nicht in ihn integriert ist. Das Zusammenspiel der PLCnext-Steuerung und des Hart-Gateways erfüllt folglich die Funktion einer Einwegschnittstelle.
Modul 3: Datenbereitstellung
Um die Daten der M+O-Domäne (Monitoring & Optimisation) zur Verfügung zu stellen, wird ein NOA-Aggregationsserver genutzt, der auf dem AXC F 3152 läuft. Dieser Server bildet die Daten im NOA-IM (NOA-Informationsmodell) ab, mit dem die M+O-Systeme arbeiten, und stellt sie über OPC UA bereit. Die Sicherheitseigenschaften hängen an dieser Stelle von der Qualität der Implementierung und dem sicheren Entwicklungsprozess ab.
Zur weiteren Erhöhung des Sicherheitsniveaus lässt sich das beschriebene Konzept um eine Security Appliance von Phoenix Contact ergänzen. Die robusten Security-Router der Produktfamilie mGuard beinhalten verschiedene Firewall-Funktionen, VPN-Verbindungen und Redundanzeigenschaften für eine hohe Verfügbarkeit. Darüber hinaus kann der Anwender die Security-Konfigurationen aufgrund eines Firewall-Assistenten ohne tiefergehendes IT-Wissen einfach einstellen.
Security sichergestellt
Wie bereits eingangs erwähnt, lässt sich das NOA Security Gateway auf unterschiedliche Arten realisieren. Die I/O-Module der Baureihe Axioline F Hart können beispielsweise die Funktion des Hart-Gateways übernehmen. Sie werden rechtsseitig an die Steuerung AXC F 3152 angereiht. Da die Module über das Bussystem direkt mit der Industriesteuerung verbunden sind, ist es nicht möglich, ohne physischen Zugang auf die Datenübertragung zwischen dem AXC F 3152 und dem Hart-Gateway zuzugreifen. Auf diese Weise wird der Angriffsvektor auf die Hart-IP-Kommunikation eliminiert.
Phoenix Contact GmbH & Co. KG, Blomberg
Autor: Niklas Lecker
Global Industry Management Process Industry,
Phoenix Contact Electronics
Hier finden Sie mehr über:
